V téměř 30 zařízeních s Androidem je malware nainstalovaný výrobcem

mqalware_ico

Bezpečnostní experti ze společnosti Doctor Web našli ve firmwaru téměř tří desítek zařízení malware nainstalovaný výrobcem. Konkrétně se jedná o škodlivé aplikace typu “trojský kůň”, které mohou bez vědomí uživatele stahovat a instalovat další programy.

Jeden z těchto trojanů, označovaný jako Android.DownLoader.473.origin, byl nalezen ve firmwarech většího počtu populárních zařízení postavených na platformě MediaTek. Na začátku minulého týdne byla tato škodlivá aplikace zjištěna v následujících 26 modelech chytrých telefonů a tabletů:

  • 7 MID
  • Bravis NB105
  • Bravis NB85
  • Digma Plane 9.7 3G
  • Explay Imperium 8
  • General Satellite GS700
  • Irbis TX97
  • Irbis TZ43
  • Irbis tz56
  • Irbis tz70
  • Irbis TZ85
  • Itell K3300
  • Jeka JK103
  • Marshal ME-711
  • MegaFon Login 4 LTE
  • Nomi C07000
  • Optima 10.1 3G TT1040MG
  • Oysters T72HM 3G
  • Perfeo 9032_3G
  • Pixus Touch 7.85 3G
  • Prestigio MultiPad PMT5001 3G
  • Prestigio MultiPad Wize 3021 3G
  • Ritmix RMD-1121
  • SUPRA M729G
  • SUPRA M72KG
  • SUPRA V2N10

Počet infikovaných zařízení může být dle odborníků ve skutečnosti ještě větší.

Malware nainstalovaný výrobcem může být nepříjemný

Android.DownLoader.473.origin je trojský kůň, který se aktivuje při každém spuštění zařízení. Aplikace sleduje připojení přes bezdrátovou síť a v případě dostupného internetového připojení se spojí s řídícím serverem. Z něj následně získá konfigurační soubor s dalšími instrukcemi. V tomto souboru jsou informace o dalších aplikacích, které by trojan měl stáhnout. Po úspěšném stažení jsou následně programy bez vědomí uživatele nainstalovány.

Stahovány jsou aplikace mnoha “žánrů” – například reklamní systém H5GameCenter detekovaný jako Adware.AdBox.1.origin. Po instalaci se zobrazí malé okno, běžící nad spuštěnými aplikacemi. Toto okno nelze z obrazovky odstranit. Jedná se o zástupce, odkazujícího na katalog integrovaný do Adware.AdBox.1.origin. Kromě H5GameCenter zobrazuje obtěžující reklamy. Uživatelé, kteří tento reklamní systém odinstalovali, často hlásí, že jim byl opětovně nainstalován. Důvod je v tomto případě prostý: Android.DownLoader.473.origin ho jednoduše stáhne a znovu nainstaluje.

Malware nainstalovaný výrobcem zobrazuje malé okno Malware nainstalovaný výrobcem zobrazuje malé okno

Další trojan Android.Sprovider.7 byl nalezen v telefonech Lenovo A319 a Lenovo A6000, přičemž druhý jmenovaný lze sehnat i na našem trhu. Součástí této aplikace je také Android.Sprovider.12.origin, který je v zašifrované podobě uložen v kódu mateřské aplikace. Aplikace kontroluje svou aktivitu při každém odemknutí obrazovky. Pokud zjistí, že neběží, postará se o své automatické spuštění.

Aplikace instaluje další programy Aplikace instaluje další programy

Android.Sprovider.12.origin může provádět následující akce:

  • Stáhnout soubor APK a pokusit se ho nainstalovat bez vědomí uživatele.
  • Spouštět nainstalované aplikace.
  • Otevřít zadaný odkaz v prohlížeči.
  • Uskutečnit telefonní hovor na určité číslo pomocí standardní systémové aplikace.
  • Zobrazit reklamy nade všemi aplikacemi.
  • Zobrazovat reklamy ve stavovém řádku.
  • Vytvořit zástupce na domovské obrazovce.
  • Aktualizovat hlavní škodlivý modul.

Autoři prý vydělávají peníze na zvyšování statistik aplikace a distribucí reklamního software. Doctor Web již informoval výrobce chytrých telefonů o svých zjištěních. Uživatelům infikovaných přístrojů je doporučeno kontaktovat technickou podporu a nainstalovat aktualizovaný systémový software.

Zdroj: news.drweb.com.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (10)